Nyligen har jag här på InBeijing uppmärksammat de brister gällande säkerhet och integritet med Zoom, bland annat därför att företaget skickar data genom servrar i Kina, där man har stor närvaro och därmed är känsliga för kinesiska myndigheters påtryckningar.
Nu i veckan har en ny populär app med koppling till Kina hamnat i hetluften, nämligen Tiktok med närmare 800 miljoner användare och en popularitet som under året spridit sig snabbt även utanför Kina, där ägarföretaget Bytedance är baserat.
I den senaste uppdateringen av iOS – Apples operativsystem för mobila enheter – finns nämligen en säkerhetsfunktion som har avslöjat hur Tiktok med bara ett par sekunders mellanrum kopierar innehållet från användares urklipp (clipboard). Detta är alltså den text en användare kopierar eller klipper ut för att klistra in någon annanstans; en funktion som till exempel är vanlig för att fylla i lösenord.
Detta är särskilt oroande, då denna funktion för att snoka (snooping) efter texter i användares urklipp inte bara gäller i själva appen Tiktok. Så länge Tiktok är öppen på din mobila enhet så har appen – och därmed det kinesiska företaget Bytedance – obegränsad tillgång till användarnas urklipp i alla program och tjänster de använder.
Det rapporterar bland annat Forbes, som också understryker hur Apples integrerade funktion för urklipp mellan enheter gör att Tiktok kan se vad du klipper och klistrar på din dator, om appen är öppen på din telefon med samma Apple ID:
The most acute issue with this vulnerability is Apple’s universal clipboard functionality, which means that anything I copy on my Mac or iPad can be read by my iPhone, and vice versa. So, if TikTok is active on your phone while you work, the app can basically read anything and everything you copy on another device: Passwords, work documents, sensitive emails, financial information. Anything.
Forbes framhåller även hur detta så kallade snokande upptäckts av forskare sedan tidigare, och att Tiktok redan i mars lovade att åtgärda problemet. Man skyllde då officiellt på att det handlade om ett bekymmer som uppstått på grund av Google Ads.
Men istället för att lösa situationen så har man alltså fortsatt att snoka på sina användares urklipp. Nu då man har påkommits med händerna i syltburken, så lovar Bytedance återigen att denna funktion kommer tas bort till nästa uppdatering, skriver bland annat The Verge:
TikTok says it will stop accessing users’ clipboard content on iOS devices, after a new privacy transparency feature in iOS 14 revealed the video sharing platform was continuing the practice it had pledged last year to discontinue, The Telegraph reported.
(…)
TikTok parent company, Beijing-based ByteDance, had said earlier this year it planned to stop accessing devices’ clipboards, The Telegraph reported, but did not give a firm date.
A TikTok spokesperson said in a statement emailed to The Verge on Friday that it had submitted an update to the App Store to remove the feature, which it described as an “anti-spam” measure. The feature was never introduced to Android devices, according to the company.
Artikeln som The Verge hänvisar till i The Telegraph har rubriken ”TikTok to stop snooping on users’ clipboards after iPhone update shows app constantly reads copied text”, men ligger bakom betalvägg.
Där citeras Bytedance alltså denna gång uppge att problemet är relaterat till en funktion för att stoppa spam, snarare än den tidigare förklaringen som hade att göra med Google Ads.
Ars Technica analyserar problemet ännu djupare, och noterar i artikeln ”TikTok and 53 other iOS apps still snoop your sensitive clipboard data” and Tiktok förvisso inte är ensamt att snoka på sina användares urklipp.
Tiktok är dock den absolut största appen att så göra, vilket tillsammans med tidigare löften gör det hela särskilt problematiskt och misstänksamt, noterar Ars Technica:
In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages.
(…)
“It’s very, very dangerous,” Mysk said in an interview on Friday, referring to the apps’ indiscriminate reading of clipboard data. “These apps are reading clipboards, and there’s no reason to do this. An app that doest have a text field to enter text has no reason to read clipboard text.”
While Haj Bakry and Mysk published their research in March, the invasive apps made headlines again this week with the developer beta release of iOS 14. A novel feature Apple added provides a banner warning every time an app reads clipboard contents. As large numbers of people began testing the beta release, they quickly came to appreciate just how many apps engage in the practice and just how often they do it.
Nedan ett exempel på hur det ser ut i nya uppdateringen av iOS när Tiktok kopierar sina användares urklipp i andra appar och tjänster:
Okay so TikTok is grabbing the contents of my clipboard every 1-3 keystrokes. iOS 14 is snitching on it with the new paste notification pic.twitter.com/OSXP43t5SZ
— Jeremy Burge (@jeremyburge) June 24, 2020
Det är här på sin plats att fråga sig varför det i regel är internetföretag med kopplingar till Kina som på senare tid har avslöjats med stora problem vad gäller säkerhet och integritet.
Att Bytedance i egenskap av kinesiskt företag i enlighet med nya säkerhetslagar måste överlämna all information som polis och andra myndigheter efterfrågar, ger eventuellt en antydan till förklaringen.